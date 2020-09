Der Chaos Computer Club hat erneut Sicherheitslücken in einer digitalen Kontaktliste zur Bekämpfung der Coronavirus-Epidemie entdeckt. Es gelang den CCC-Hackern, die Daten von über 400.000 Eintragungen aus mehr als 1000 Einrichtungen auszulesen. Im Gegensatz zur Sicherheitslücke beim Betreiber gastronovi waren im aktuellen Fall die Einträge allerdings verschlüsselt, was Schlimmeres verhinderte. Den CCC-Mitgliedern gelang es also nicht, persönliche Informationen aus den erbeuteten Daten auszulesen, sie deckten im Zuge ihrer Untersuchungen allerdings einige weitere Sicherheitslücken in der Software auf.

Die Plattform darfichrein.de erregte die Aufmerksamkeit der CCC-Hacker "durch vollmundige Versprechungen auf Twitter", wie es im Bericht des Chaos Computer Club zu den Sicherheitslücken heißt. Im Zuge ihrer Untersuchungen fanden sie nicht nur eine Sicherheitslücke in der eigentlichen Plattform, durch die sich die Kontaktverfolgungsdaten auslesen ließen, sondern sie konnten sich auch Administrator-Zugriff auf das Content Management System (CMS) der Plattform verschaffen. In diesem CMS wurden zwar keine Kontaktdaten, wohl aber Teile des Online-Auftrittes des Plattform-Betreibers verwaltet. Durch das Hochladen von PHP-Skripten hätten die CCC-Mitglieder beliebigen Code im CMS ausführen können.

Schwachstellen bei der Schlüsselverwaltung

Die Verschlüsselung der Kontakt-Daten verhinderte zwar einen Zugriff durch Unbefugte, aber auch dieser Schutz war nicht ohne Probleme implementiert worden. Das System ist so konzipiert, dass jeder Gastgeber über einen öffentlichen und einen privaten Schlüssel verfügt. Alle Daten seiner Besucher im System werden mittels öffentlichen Schlüssels des Gastgebers verschlüsselt, sodass nur er an die Daten herankommt.

Den CCC-Hackern gelang es allerdings, die öffentlichen Schlüssel von Gastgebern zu überschreiben. Dadurch hatten sie Zugriff auf die Konten der Gastgeber innerhalb der Plattform. Da die Schlüssel der Gastgeber von einem Besucher nicht geprüft werden können, hätten Angreifer durch den Austausch der Schlüssel statt des eigentlichen Gastgebers Zugriff auf alle zukünftig für dieses Etablissement hochgeladenen Kontaktverfolgungsdaten gehabt.

Immerhin waren die vorhandenen Daten aber durch die Verschlüsselung geschützt. "Wer verschlüsselt, kann auch mal eine große Klappe haben", kommentiert der CCC in seinem Bericht zu den Sicherheitslücken die öffentlichen Aussagen der Betreiber bei darfichrein.de.

Schnelle Reaktion der Betreiber

Der Betreiber der Plattform reagierte laut CCC überraschend schnell auf den Bericht und behob die Sicherheitslücken in der Plattform in unter 24 Stunden. An einer Funktion, mit der Besucher die öffentlichen Schlüssel der Gastgeber überprüfen können, wird zwar noch gearbeitet, da aber die zugrundeliegenden Sicherheitslücken behoben sind, ist das aktuell nicht dringend. Alle Kontaktverfolgungsdaten in der Plattform sind wohl soweit erst einmal sicher.

Die Sicherheitslücken im CMS hat der Betreiber kurzerhand dadurch behoben, dass das CMS mit einer statischen Webseite ersetzt wurde, die sowieso inhärent weniger Angriffsmöglichkeiten bietet.

